当前位置: 首页 > news >正文

【CVE-2025-4123】Grafana完整分析SSRF和从xss到帐户接管

news 来源:原创 2025/6/6 11:42:06

摘要

当Web应用程序使用URL参数并将用户重定向到指定的URL而不对其进行验证时,就会发生开放重定向。

/redirect?url=https://evil.com`–>(302重定向)–>`https://evil.com

这本身可能看起来并不危险,但这种类型的错误是发现两个独立漏洞的起点:全读SSRF和帐户接管。在这篇文章中,我将逐步了解我如何找到它们的整个过程。

为什么是Grafana?

Grafana 是一个开源分析平台,主要由 GoTypeScript 构建,用于可视化来自 PrometheusInfluxDB 等来源的数据。我认为在这个Web应用程序中发现漏洞将是一个很好的挑战,所以我下载了源代码并开始调试——尽管这是我第一次使用Go。我决定专注于应用程序的未经认证的部分。

入口点:打开重定向

我浏览了所有定义的未经认证的端点api/api.go

...// not logged in views
r.Get("/logout", hs.Logout)
r.Pos

相关文章:

  • 字节跳动开源图标库:2000+图标一键换肤的魔法
  • unidbg patch 初探 微博deviceId 案例
  • CSP使用严格设置
  • 电脑桌面便签软件哪个好?桌面好用便签备忘录推荐
  • OpenCV4.4.0下载及初步配置(Win11)
  • 一步一步配置 Ubuntu Server 的 NodeJS 服务器详细实录——3. 服务器软件更新,以及常用软件安装
  • 第十章:Next的Seo实践
  • 使用pdm+uv替换poetry
  • 【CBAP50技术手册】#33 Prioritization(优先级排序):BA(业务分析师)的“焦点加速器”
  • 芝麻酱工作创新点分享1——SpringBoot下使用mongo+Redis做向量搜索
  • Java详解LeetCode 热题 100(23):LeetCode 206. 反转链表(Reverse Linked List)详解
  • 机器学习:支持向量机(SVM)原理解析及垃圾邮件过滤实战
  • mac电脑安装 nvm 报错如何解决
  • 前端自动化测试利器:Playwright 全面介绍
  • Python-120:摇骰子的胜利概率
  • 23. Merge k Sorted Lists
  • 鸿蒙进阶——Mindspore Lite AI框架源码解读之模型加载详解(一)
  • DAY41 CNN
  • DAY 41 简单CNN
  • Python----目标检测(训练YOLOV8网络)
  • 陕西省西安市网站建设公司/十大免费b2b网站
  • 什么网站做一手房好/淘宝关键词搜索量排名
  • 电商界面设计图/广州谷歌优化
  • 计算机怎么建设网站/中国企业500强
  • 阿坝县建设局网站/游戏推广员如何推广引流
  • 做微博长图的网站/外链购买